NTFS格式存储设备数据恢复方法研究_徐国天

图1从NTFS日志中提取出的3组删除痕迹Fig. 1Traces of three deleted files from NTFS log file

3个删除文件在硬盘内的实际存储情况

图2恢复出的3个删除文件

Fig. 2Three restored files

2 扫描$MFT元文件完成恢复

目前现有数据恢复软件（如Final Data）普遍基于两种策略恢复删除文件。一种是扫描$MFT元文件，寻找出被删除文件残留的MFT记录，进而根据其中存储的相关信息恢复文件[2]。这种方式的优点是可以快速恢复文件，但如果被删除文件残留的MFT记录被覆盖，这种方法将失效，下面举例分析。

2.1 测试扫描$MFT元文件方式的恢复效果

使用Final Data的快速扫描功能（即扫描$MFT 图3使用Final Data的快速扫描恢复

Fig. 3Quick scan recovery by Final Data

2.2 扫描$MFT元文件的恢复方式分析

$MFT元文件是NTFS下最重要的1个系统文件，

图4被删除文件“~WRL0001.tmp”残留的MFT记录Fig. 4Residual MFT data from the deleted “~ WRL0001. tmp” file

前56个字节是文件记录头。文件记录头的前个字节固定是ASCII码“FILE”。第23、24字节是标志字节，值为0x0000，表示这是一个被删除件。如果是正常文件，这个值应为0x0001。第81~88字节是文件的创建时间。第89~96字节是文件的修改时间。第97~104字节是MFT记录变化时间。第105~112字节是文件的最后一次访问时间。第243~264字节是采用Unicode表示的文件名，共

字节，值为“~WRL0001.tmp”。第353~360字

是文件的占用空间大小，值为0x F0 00 = 61440字节，15簇。第361~368字节是文件的实际大小，值为

0x E6 00 = 58880字节。

第377~392字节为数据存储位置，值为0x 31 0A E4 E1 05 11 02 12 11 03 0A 00 00 D0 90 E1，其中包含3个数据运行，分别是0x 31 0A E4 E1 05、02 12和11 03 0A。整个文件数据由3块空间组成，每个数据运行标识一块空间。第1块空间的起始簇号是0x 05 E1 E4 = 385508，空间大小为0x 0A = 10

图5使用Final Data的完整扫描恢复

Fig. 5Full scan recovery by Final Data

3.2 扫描存储设备空闲空间恢复方式分析

由于3个被删除文件均为Office2003版本Doc 文件，这类文件的头部特征值为0X D0 CF 11 E0 A1 B1 1A E1。Final Data软件根据这一特征值从硬

图6 3个被删除文件的头部特征值

Fig. 6Peculiar head data of the three deleted files

图7显示的是Final Data恢复结果与删除文件实际存储情况的对比，下面依次分析。Final Data 385409簇识别出Doc文件头部特征值，将其后连48个簇块合并成一个Doc文件。而该文件的实际存储情况是从385409簇开始，共35簇。Final Data 的恢复范围包含了删除文件的实际存储范围，因此Final Data恢复出的这一文件可以正常使用。

随后，Final Data在385508簇识别出Doc

件头部特征值，并将其后的15个簇块合并成1 Doc文件。而该文件实际存储在385508、385526 385536簇开始的3段空间内，Final Data只恢复出第

3个删除文件的实际存储情况

7Final Data恢复结果与删除文件实际存储情况对比

Fig. 7Recovery result and the actual storage condition

4 结 论

综上所述，Final Data应用快速扫描和完整扫描恢复出图1中的第1和第3个删除文件，但由于第个删除文件的MFT记录已被覆盖，并且数据不连续存储，因此Final Data没有成功恢复，而应用NTFS 日志可成功恢复该文件。

3种方式恢复效果对比如表1所示。经过测试我们发现NTFS日志和MFT记录方式恢复速度快，